ok, toch nog maar een reply, hoewel ietwat laat.
Maar dat maakt dus *wel* uit.. als jij Apache installeert hoef je er *niet* eerst 20 patches overheen te gooien om enigszins veilig te zijn tegen aanvallen van rare wormpjes.
Als je een *nix install uit eind '99 hebt, zit daar vast ook wel een verouderde versie van apache bij. En de default install daarvan is vast ook niet helemaal waterdicht. Wat natuurlijk niet wegneemt dat MS best z'n producten wat dichter op de markt mag gooien, maarja, security kost tijd, en zo lang zijn ze er nog niet (serieus) mee bezig.
Overigens, misschien lijkt het wel alsof ik een enorme MS fan ben, da's niet zo, ik probeer alleen objectief te blijven, en niet mee te gaan met de anti-M$-rage. (oh, nog iets, ik ben *geen* MCSE-er)
Daar zit een firewall voor. De systemen hangen daar dus niet rechtstreeks op. Genoeg om iig de worm te stoppen.
Een firewall stopt een worm pas, als ie hem kent, wat dus te lang duurt(tenzij ie erg paranoide is ingesteld). Maar, ik had het niet over wormpjes in die alinea, maar over de MS servers. Het lijkt me dat een beetje hacker/cracker(zelfs script kiddies) amper moeite hebben met een firewall.
Mee eens. Beheerders zijn gewoonweg vaak te lui. een M$ systeem patchen is gewoon een ramp vergeleken bij een Unix bak.
Een ramp? In welk opzicht? Ik heb nu een aantal keer met dat bijltje gehakt, en als je het een beetje volgt is het amper werk. Helemaal dichtpatchen na een install iets meer, maar nog zo gebeurd.
het is toch te gek voor woorden dat je dit als systeembeheerder zegt? elke 2 weken een patch moeten installeren omdat je anders gehacked kan worden als je IIS hebt draaien,
Zou jij s'avond lekker kunnen slapen?
wat als je de patch net 1 dag telaat geinstalleerd hebt, en ze hebben volledige controle over je server.
Wie zegt dat hij niet ge(mis)bruikt gaat worden in een Ddos attack?
Ik slaap 's avond best lekker hoor.
Voordat er iets gebeurd met zo'n exploit, gaat er toch wel wat tijd overheen. En dan nog, de meeste van die exploits geven geen volledige controle over de server, en een groot gedeelte ervan is bij een verstandig ingerichte server ook totaal niet van toepassing(.printer en .htr mappings bijvoorbeeld).
Tis natuurlijk wel een vreemd beleid van MS om alles wat er met zo'n servertje kan, default ook maar aan te zetten. Daar komen ze nog wel achter, hoop ik voor ze.
ik zou zelf toch voor veiligheid en kwaliteit gaan als ik een bedrijf zou zijn, dan dat mijn systeem elke maand contact zoekt met een MS server en daar iets ophaalt, waarvan ik geen flauw idee heb wat het is.
Zo ver zijn ze nog niet, maar op zich zou dat best een idee zijn. Moet natuurlijk wel die server niet gehacked worden
Nog even wat over TCO en voor MS(IIS) kiezen:
Stel, je hebt een 6-tal servers draaien, en er komt elke 2 weken een patch uit die je *moet* draaien. Een patch draaien kost zo'n 5 a 10 minuten (inclusief testen) per server, dus da's in totaal 1 uur in de 2 weken, dus 2 uur per maand. Dat kost dus (stel dat je een *duur* gedatacheerd mannetje hebt zitten) hoogstens 400,-. Bij een systeembeheerder in dienst van het bedrijf iets van 120,-. Komt dus neer op 20,- tot 60,- per server per maand. Da's dus, in vergelijking met andere kosten, 2x niks.
Wij gebruiken IIS, en zullen daar voorlopig zeer waarschijnlijk ook niet vanaf stappen. Waarom?
-ASP
-draait al (overstappen kost tijd)
-(redelijk) eenvoudig beheer
-veilig genoeg
Ik denk dat dit voor veel bedrijven geldt. Ik ben benieuwd naar de volgende Netcraft survey.
:strip_exif()/u/5079/tweak.gif?f=community)
:strip_icc():strip_exif()/u/4766/fotol2.jpg?f=community)
het is toch te gek voor woorden dat je dit als systeembeheerder zegt? elke 2 weken een patch moeten installeren omdat je anders gehacked kan worden als je IIS hebt draaien,